SharpRhino RAT

O grupo Hunters International Ransomware desenvolveu um novo Trojan de Acesso Remoto (RAT) C# chamado SharpRhino para atingir funcionários de TI e se infiltrar em redes corporativas. Este malware facilita a infecção inicial, o escalonamento de privilégios em sistemas comprometidos, a execução de comandos do PowerShell e, por fim, a implantação de ransomware.

Pesquisadores de segurança cibernética identificaram que o malware está se espalhando por meio de um site de typosquatting que imita o site do Angry IP Scanner, uma ferramenta de rede popular usada por profissionais de TI.

Possível Reformulação do Grupo de Crimes Cibernéticos Anterior

O Hunters International, uma operação de ransomware lançada no final de 2023, é suspeita de ser uma reformulação do Hive devido às semelhanças em seu código. Entre as suas vítimas notáveis estão a Austal USA, um empreiteiro da Marinha dos EUA, o gigante japonês da óptica Hoya, a Integris Health e o Fred Hutch Cancer Center, destacando o desrespeito do grupo pelos limites éticos.

Em 2024, o grupo assumiu a responsabilidade por 134 ataques de ransomware a organizações em todo o mundo (excluindo as da região CIS), tornando-se o décimo grupo de ransomware mais ativo este ano.

Como Funciona o SharpRhino RAT?

O SharpRhino é distribuído como um instalador de 32 bits assinado digitalmente ('ipscan-3.9.1-setup.exe') que inclui um arquivo 7z auto-extraível e protegido por senha, contendo arquivos adicionais necessários para o processo de infecção. Após a instalação, o software altera o registro do Windows para persistência e cria um atalho para Microsoft.AnyKey.exe, um binário do Microsoft Visual Studio que é mal utilizado neste contexto.

O instalador também descarta o ‘LogUpdate.bat’, que executa scripts do PowerShell no dispositivo para compilar o código C# na memória, permitindo a execução furtiva de malware. Para redundância, o instalador cria dois diretórios: 'C:\ProgramData\Microsoft: WindowsUpdater24' e 'LogUpdateWindows', ambos utilizados para comunicação de comando e controle (C2).

O malware possui dois comandos codificados: ‘delay’, que define o cronômetro para a próxima solicitação POST para recuperar um comando, e ‘exit’, que encerra sua comunicação. A análise revela que o malware pode executar comandos do PowerShell no host, permitindo-lhe realizar diversas ações prejudiciais.

Os Cibercriminosos Usam Sites Falsos queImitam Ferramentas Legítimas

A Hunters International adotou uma nova estratégia de usar sites que imitam ferramentas legítimas de verificação de rede de código aberto para atingir profissionais de TI, com o objetivo de violar contas com privilégios elevados.

Os usuários devem ter cuidado com os resultados de pesquisa patrocinados para evitar publicidade maliciosa, usar bloqueadores de anúncios para impedir que esses resultados apareçam e marcar sites oficiais de projetos conhecidos por fornecer instaladores seguros. Para enfraquecer o impacto dos ataques de ransomware, implemente um plano de backup robusto, pratique a segmentação de rede e mantenha todo o software atualizado para minimizar oportunidades de escalonamento de privilégios e movimentação lateral.